Уязвимость в модуле статистика экономический игры

Сегодня поговорим про еще одну из популярных на сегодняшний день узвимостей с помощью которых взламывают фермы это модуль статистика.

Всё оказывается очень просто это введение shell в статистику проекта. На данный момент все часто и часто мошенники вводят в паблик скрипты такой вот код в файл _stats.php

<?php 
session_start(); 
//выделяем уникальный идентификатор сессии 
$id = session_id(); 
if ($id!="") 
{ 
//текущее время 
$CurrentTime = time(); 
//через какое время сессии удаляются 
$LastTime = time() - 600; 
//файл, в котором храним идентификаторы и время 
$base = "session.txt"; 
$file = file($base); 
$k = 0; 
for ($i = 0; $i < sizeof($file); $i++) { 
$line = explode("|", $file[$i]); 
if ($line[1] > $LastTime) { 
$ResFile[$k] = $file[$i]; 
$k++; 
} 
} 
for ($i = 0; $i<sizeof($ResFile); $i++) { 
$line = explode("|", $ResFile[$i]); 
if ($line[0]==$id) { 
$line[1] = trim($CurrentTime)."\n"; 
$is_sid_in_file = 1; 
} 
$line = implode("|", $line); $ResFile[$i] = $line; 
} 
$fp = fopen($base, "w"); 
for ($i = 0; $i<sizeof($ResFile); $i++) { fputs($fp, $ResFile[$i]); } 
fclose($fp); 
if (!$is_sid_in_file) { 
$fp = fopen($base, "a-"); 
$line = $id."|".$CurrentTime."\n"; 
fputs($fp, $line); 
fclose($fp); 
} 
} 
?>

Вся проблема что данный вид скрипта дает открытый доступ с помощью которого мошенники вводят shell ну и дальше по своей схеме ломают систему, воруют деньги тем и разрушают сайт!